Atak na VoIP

Użytkownicy sieci VoIP zauważyli od pewnego czasu tak zwane głuche telefony, wskazujące na próby połączeń z zewnątrz. Jest to efekt skanowania sieci w poszukiwaniu otwartych serwerów usług głosowych telefonii internetowej - pierwszy symptom działania przestępców.

Zazwyczaj ataki były kierowane przeciw dostawcom, tym razem jest to masowe poszukiwanie celów o żądanej charakterystyce. Zjawisko to jest dokuczliwe dla końcowych użytkowników, gdyż skanowanie jest dokonywane automatycznie o różnych porach doby, często w nocy. Wiele takich skanów odbywa się z jednego adresu IP lub z grupy adresów.

Czemu służy skanowanie VoIP?

Otrzymaliśmy sygnał, że zdarzają się głuche połączenia telefoniczne. Przeprowadzona przez nas analiza przyniosła zaskakujące wnioski - połączenia te pochodzą z jednego adresu IP i kierowane są do przypadkowo wybranych użytkowników, korzystających z różnych operatorów VoIP.

Łukasz Ratajczyk, dyrektor techniczny FreecoNet

Pierwsze potwierdzone doniesienia z Polski nadeszły od operatora FreecoNet. "Od jednego z użytkowników FreecoNet otrzymaliśmy kilka dni temu sygnał, że zdarzają się głuche połączenia telefoniczne, szczególnie uciążliwe w nocy. Co ciekawe, połączenia te nie były widoczne w szczegółowym billingu połączeń przychodzących, a nawet nie przechodziły przez naszą platformę VoIP. Przeprowadzona przez nas analiza przyniosła zaskakujące wnioski - połączenia te pochodzą z jednego unikalnego adresu IP i kierowane są do przypadkowo wybranych użytkowników sieci Internet, korzystających z różnych operatorów VoIP. Dotarliśmy nawet do firmy, której nazwę wykorzystano w identyfikatorach w/w połączeń. Firma ta zaprzeczyła jakoby była ich inicjatorem. Poinformowała nas również, iż zwróciła się z prośbą do właściciela adresu IP komputera, z którego przeprowadzane jest <<skanowanie>>, w celu jego pełnej identyfikacji i wyjaśnienia zaistniałej sytuacji" - mówi Łukasz Ratajczyk, dyrektor techniczny FreecoNet SA.

W rzeczywistości jest to preludium do ataku, polegającego na kradzieży uwierzytelnienia kont w ogólnodostępnych systemach telefonii internetowej. W praktyce wygląda to w ten sposób, że napastnik (źródła FreecoNet podają adres IP 69.197.156.250) generuje pakiety SIP i kieruje je do poszczególnych, losowo wybranych adresów IP. Jeśli pod konkretnym adresem IP znajduje się jakieś urządzenie VoIP (bramka czy telefon IP) - telefon wówczas dzwoni, a do nadawcy pakietów SIP wraca informacja ze szczegółami zawierającymi m.in. rodzaj wykorzystywanego urządzenia VoIP. Połączenia te nie są widoczne w billingu rozmów przychodzących, gdyż nie przechodzą przez platformę VoIP. FreecoNet nie jest jedynym operatorem VoIP, który ostrzega o takich atakach, podobne informacje ujawnia też Arbor Networks.

Najczęściej wymienia się kilka powodów, dla których ktoś mógłby zestawiać połączenia do cudzych sieci lub urządzeń VoIP. Jednym z nich jest atak odmowy obsługi kierowany przeciw najważniejszemu medium komunikacji w firmie - telefonii. Wobec zwykłych użytkowników mógłby to być jedynie złośliwy żart, ale w wielu przypadkach może on powodować problemy.